بمناسبة يوم كلمة المرور العالمي، أجرى خبراء كاسبرسكي تحليلاً شمل 231 مليون كلمة مرور فريدة ضمن تسريبات بيانات كبرى وقعت بين 2023 و2026، وكشفوا عن مجموعة من الأنماط المهمة. أولها أن 68% من كلمات المرور الحديثة يمكن كشفها خلال يوم واحد فقط. وثانيها أن معظم كلمات المرور المخترقة تبدأ أو تنتهي برقم، وهو نمط شائع يزيد من قابليتها للاختراق عبر هجمات القوة الغاشمة. وثالثها، فقد لوحظ أن المستخدمين يميلون إلى استخدام كلمات إيجابية ورائجة؛ إذ ارتفع استخدام كلمة «Skibidi» في كلمات المرور خلال العامين الماضيين بمعدل 36 ضعفاً، متأثراً بانتشار المحتوى المرتبط بتلك الكلمة على الإنترنت.
باتت قواعد كلمات المرور الآمنة من أكثر الموضوعات تداولاً في السنوات الأخيرة؛ إذ تفرض العديد من الخدمات الرقمية في الوقت الحالي أن تكون كلمة المرور بطول لا يقل عن 10 أحرف، مع تضمين حرف كبير ورقم أو رمز خاص. ومع ذلك، يُظهر التحليل المقارن لكلمات المرور المسربة في السنوات الماضية أن الالتزام بهذه المعايير وحده لا يكفي لضمان الحماية من هجمات القوة الغاشمة أو الهجمات المدعومة بالذكاء الاصطناعي.
وفيما يلي، يقدم خبراء كاسبرسكي مجموعة من النصائح العملية لتعزيز تعقيد كلمات المرور ورفع مستوى أمانها، مع تفادي الأخطاء الشائعة التي تتكرر بين المستخدمين.
كن مبدعاً في استخدام الرموز والأرقام في كلمات المرور
تشير التحليلات إلى أن الرمز الأكثر شيوعاً في كلمات المرور المسربة ذات الرمز الواحد هو «@»، حيث يظهر في 10% من الكلمات. ويليه رمز النقطة «.» بنسبة 3%، ومن حيث الانتشار في كلمات المرور بشكل عام، يأتي الرمز «@» في المركز الثاني، ثم الرمز «!» في المرتبة الثالثة.
كما تأتي الأرقام ضمن أنماط واضحة يسهل التنبؤ بها. وتظهر في كلمات المرور المسرّبة بالنسب التالية:
● 53% من كلمات المرور التي تم فحصها تنتهي بأرقام.
● 17% تبدأ بأرقام.
● نحو 12% تتضمن تسلسلات رقمية تشبه التواريخ (من 1950 إلى 2030).
● 3% من كلمات المرور المسربة تحتوي على تسلسلات حرفية من لوحة المفاتيح مثل «qwerty» أو «ytrewq»، إلا أن الغالبية تتضمن تسلسلات رقمية بسيطة مثل «1234».
يرى أليكسي أنتونوف، قائد فريق علوم البيانات في كاسبرسكي، أن الاعتماد على رموز أو أرقام أو تواريخ شائعة – خصوصاً عندما توضع في أماكن متوقعة مثل أول كلمة المرور أو آخرها – يسهّل على المهاجمين السيبرانيين تنفيذ هجمات القوة الغاشمة. ولهذا يُنصح باستخدام أحرف غير شائعة وتجنب التسلسلات العددية أو التسلسلات الحرفية في لوحة المفاتيح.
ويشرح قائلاً: «تعتمد هجمات القوة الغاشمة على تجربة كل التوليفات الممكنة من الأحرف حتى يتم العثور على كلمة المرور الصحيحة. وعندما يكون لدى المهاجمين معرفة سابقة بتفضيلات المستخدمين من الأحرف والرموز، فإن عملية الاختراق تصبح أسرع بكثير. ولتفادي اختيار كلمات يمكن التنبؤ بها بسهولة، من الأفضل استخدام مولدات كلمات المرور التي تنتج مزيجاً عشوائياً من الأحرف والأرقام والرموز باحتمالات متكافئة.»
تجنّب قدر المستطاع استخدام الكلمات عند إنشاء كلمة المرور
تكشف الأبحاث أن الكلمات العاطفية أو الرائجة تكون في كثير من الأحيان أساس اختيار كلمات المرور. فعلى سبيل المثال، خلال المدة الممتدة من 2023 إلى 2026، زاد استخدام كلمة «Skibidi» في كلمات المرور بمقدار 36 ضعفاً، مواكبةً لانتشار هذا المحتوى الرقمي بشكل واسع على الانترنت.
كما أجرى خبراء كاسبرسكي تحليلاً لمدى انتشار الكلمات الإيجابية والسلبية في كلمات المرور، وتبيّن أن الكلمات الإيجابية هي السائدة، وأبرزها: «star»، و«angel»، و«team»، و«friend»، و«love»، و«magic»، و«eden». ومن اللافت أن الكلمات الإيجابية تتفوق بوضوح على نظيراتها السلبية رغم ظهور كلمات مثل: «nightmare»، و«devil»، و«scar» في بعض الحالات.
ويقول أليكسي أنتونوف: «إن الاعتماد على كلمة مرور مكونة من كلمة واحدة فقط، حتى لو أُضيف إليها رقم في النهاية أو رمز خاص، يُعد خياراً ضعيفاً من ناحية الأمان، نظراً لسهولة توقع هذا النمط في كلمات المرور. وبدلاً من ذلك، ينصح بإنشاء عبارة مرور تتألف من عدة كلمات غير مترابطة، مع تضمين أرقام ورموز داخلية، وإضافة أخطاء إملائية مقصودة لزيادة التعقيد. وكلما كانت كلمة المرور أطول وأكثر عشوائية وغير متوقعة، ارتفعت صعوبة اختراقها. كما يوصى أيضاً بتفعيل المصادقة الثنائية (2FA) حيثما أمكن.»
هل يُعد طول كلمة المرور عاملاً مهماً؟
تشير المعرفة الأمنية الشائعة إلى أن كلمات المرور الأطول أكثر مقاومة للاختراق، وهو ما تؤكده بالفعل تحليلات كلمات المرور المسربة. لكن مع تطور تقنيات الذكاء الاصطناعي، لم يَعُد طول كلمة المرور وحده كافياً لضمان الحماية؛ إذ يمكن استهداف حتى الكلمات الطويلة إذا كانت تعتمد على أنماط متكررة أو متوقعة.
وتُظهر الأبحاث أن كلمات المرور المسربة التي لا يتجاوز طولها ثمانية أحرف، تم اختراقها خلال أقل من 24 ساعة عبر هجمات القوة الغاشمة. لكن بفضل الخوارزميات الذكية المدعومة بالذكاء الاصطناعي، يمكن اختراق أكثر من 20% من كلمات المرور المكونة من 15 حرفاً في أقل من دقيقة واحدة.
تأثير طول كلمة المرور على معدلات الاختراق: نتائج اختبار باستخدام بطاقة رسومية واحدة من نوع 5090 وخوارزمية MD5
بالإضافة إلى ذلك، تبيّن أن 60.2% من كلمات المرور التي شملها التحليل، بغض النظر عن طولها، يمكن اختراقها خلال ساعة واحدة تقريباً، في حين يمكن اختراق 68.2% منها خلال يوم واحد.
وقد أُجريت التقديرات الموضحة في الصورة بالاعتماد على بطاقة رسومية واحدة من طراز RTX 5090 مع خوارزمية MD5. غير أن الواقع العملي يختلف؛ إذ يستطيع المهاجمون تشغيل عشرات البطاقات الرسومية أو حتى المئات منها؛ مما يرفع معدل الاختراق بشكل كبير وقد يتضاعف عدة مرات.
ووفقاً للمعايير الحديثة، لا تُعدّ كلمات المرور الآمنة تلك التي يتجاوز طولها 16 حرفاً فقط، بل هي التي تتكون أيضاً من مزيج عشوائي وغير مكرر من الحروف والأرقام والرموز، وتكون فريدة لكل حساب. ولتسهيل عملية اختيار كلمات المرور الآمنة على المستخدمين، أدرجت كاسبرسكي ميزة إنشاء كلمات المرور ضمن الموقع الإلكتروني Kaspersky Password Generator؛ الذي يتيح لهم التحقق من كون كلمات المرور الخاصة بهم قد تعرّضت للاختراق أم لا، بالإضافة إلى إنشاء كلمات مرور قوية وآمنة دون مجاناً.
ولتسهيل إدارة كلمات المرور وتعزيز أمانها، مع إمكانية التعبئة التلقائية والمزامنة بين مختلف الأجهزة، يُفضّل استخدام مدير كلمات مرور الذي يقوم بتجميع بيانات الدخول في خزنة رقمية مشفّرة ومحمية بكلمة مرور رئيسية واحدة. وهذا الحل يُلغي الحاجة إلى حفظ عدد كبير من كلمات المرور، مع ضمان حمايتها من أي محاولات اختراق. علاوة على ذلك، لا يقتصر الحل على كلمات المرور فقط، بل يدعم أيضاً إنشاء وتخزين مفاتيح المرور داخل Kaspersky Password Manager؛ مما يتيح تسجيل الدخول إلى الخدمات المدعومة بنقرة واحدة، مع إمكانية الوصول إليها من جميع الأجهزة بفضل المزامنة الآمنة.
*استند هذا التحليل إلى بيانات مقدمة من خدمة Kaspersky Digital Footprint Intelligence.
